Forumlar / National / Russian / Тех. поддержка / Закрыть возможность достучатся до файлов

Roffun
#43941 2019-01-02 17:04
#43939 Kopusha:

В служебных директориях в корне лежит пустой index.html со следующим содержанием

<h1>Forbidden</h1>
<!-- No directory listing available -->

Надо ли мне (по уму) такой же файл размещать в корнях своих новых плагинов или в папках моей темы. 
 

Index.html кладут в директорию для того, чтобы листинга файлов не было, если нужно дополнительно защитить от прямого вызова php файлы, то в Cotonti используется:

 defined('COT_CODE') or die('Wrong URL.');

Также можно .htaccess положить в директорию с нужными настройками, но это индивидуально.

#43939 Kopusha:

Как вариант улучшения безопасности - у меня реализована заливка файлов через экстраполе file в определенную папку.
 

Не факт что улучшение безопасности. Я когда-то писал плагин Confirmtheright, он как раз создает экстраполе для загрузки проверочных файлов для подтверждения прав на сайт. Оказалось самого экстраполя недостаточно для безопасности, нужно делать проверку на стороне сервера.

#43939 Kopusha:

Это плагин Marketorders, люди покупают файлы и качают их.
 

Чтобы не получали доступ по прямой ссылке к таким файлам, их можно хранить выше корня, а скачивать программно.

Улетел на другую планету, а там почты нету.. https://www.cotonti.com/forums/45298?m=posts

Bu konu Roffun tarafından düzenlendi(2020-01-16 16:04, 4 yıllar önce)